Національна EASM-платформа

Проте, аналіз поточного стану кібербезпеки демонструє, що значна частина публічного кіберпростору залишається незахищеною. Ця відкритість активно використовується противником для розвідки та проведення цілеспрямованих атак, що створює глибоку системну проблему, яку неможливо вирішити окремими, фрагментованими діями.

Цю ситуацію можна описати метафорою «відчинених дверей». З боку агресора, наш зовнішній периметр — сукупність усіх доступних з Інтернету ресурсів — виглядає як будинок із широко відчиненими дверими та вікнами. Загальнодоступні інструменти індексації мережі, такі як Shodan, демонструють критичні показники вразливості, що слугують прямим індикатором низького рівня кібергігієни в державі. Зокрема, виявляються тисячі відкритих сервісів віддаленого доступу (RDP, SSH), значна кількість застарілого програмного забезпечення з відомими вразливостями, а також широке поширення прострочених TLS-сертифікатів.

У відповідь на ці загрози пропонується створення єдиної централізованої Національної EASM-платформи (External Attack Surface Management). Це не просто ще один технологічний інструмент, а стратегічний підхід, який забезпечує безперервне, автоматизоване виявлення, моніторинг та управління всіма зовнішніми активами, як їх бачить атакуючий. Платформа слугує «системою раннього виявлення», що дозволить перейти від реактивного реагування на інциденти до проактивного запобігання атакам. Вона подолає розрив між наявними законодавчими та інституційними рамками та забезпечить ефективну координацію між державними відомствами.

Очікуваний ефект від впровадження платформи буде вимірюватися конкретними показниками ефективності (KPIs). Протягом 12 місяців очікується скорочення кількості відкритих RDP/SSH-сервісів у державному секторі щонайменше на 80% та зниження частки прострочених TLS-сертифікатів щонайменше на 70%. Також буде значно зменшено середній час на усунення критичних вразливостей, що виявляються платформою. Реалізація передбачається у два етапи: 90-денний пілотний проект та подальше масштабування на всі державні відомства.

2. Стратегічний Контекст: Ландшафт Вразливості України

2.1. Поверхня атаки: Що це таке?

Поверхня атаки — це сума всіх потенційних точок входу до системи. У контексті національної безпеки, українська поверхня атаки, доступна з мережі Інтернет, є надзвичайно широкою та вразливою. Для нетехнічної аудиторії її можна уявити як детальний цифровий креслення будівлі, на якому позначені всі вхідні двері, вікна та навіть приховані вентиляційні отвори, що можуть бути використані для проникнення. Чим більша поверхня атаки, тим більше потенційних шляхів для зловмисника, і тим складніше її захистити.

2.2. Головні технічні вразливості

Аналіз, що ґрунтується на загальнодоступних даних, таких як Shodan, виявляє низку критичних метрик, які вказують на системні проблеми кібербезпеки в державі.

• Відкриті сервіси віддаленого доступу. Індексація мережі показує наявність тисяч відкритих портів, таких як порт 3389 для віддаленого робочого столу (RDP) або порт 22 для протоколу SSH. Ці відкриті порти є прямими точками входу, які можуть бути використані зловмисниками для спроб несанкціонованого доступу. Це схоже на те, якби хтось залишив ключі від будинку в замку, що дозволяє застосувати методи грубої сили для підбору паролів, особливо якщо вони не захищені двофакторною автентифікацією. Отримавши доступ, зловмисник може використовувати його для викрадення даних або розгортання програм-вимагачів, що є першим кроком до компрометації всієї мережі.
• Застаріле програмне забезпечення. Значна кількість пристроїв працює на програмному забезпеченні, для якого вже існують публічно відомі вразливості (CVE). Це можна порівняти з використанням старого, іржавого замка, для якого злодії вже давно знайшли універсальний відмикач. Виявлення, наприклад, веб-сервера на застарілій версії Apache, для якої існує публічно відомий експлойт для віддаленого виконання коду (RCE), дозволяє зловмиснику отримати повний контроль над сервером і використати його як «плацдарм» для подальшого проникнення вглиб мережі.
• Прострочені TLS-сертифікати. Поширення прострочених сертифікатів не лише послаблює довіру до веб-сайтів, але й свідчить про низьку увагу до питань кібергігієни. Недійсні сертифікати можуть зробити систему вразливою до атак «людина посередині» (Man-in-the-Middle). Це як пред’явлення простроченого посвідчення особи на КПП, що підриває довіру і сигналізує про недбалість у базових заходах безпеки.
• Публічно доступні бази даних. Було виявлено відкриті бази даних, як-от MongoDB, що доступні з Інтернету без належної автентифікації. Це рівнозначно тому, щоб залишити сейф із конфіденційною інформацією відкритим на центральній площі. Такі вразливості призводять до масштабних витоків конфіденційної інформації, яка може бути використана для подальшого шантажу або кримінальних операцій.

2.3. Причина вразливості: Системні прогалини в управлінні

Вищезгадані технічні вразливості є не випадковістю, а прямим наслідком глибинних проблем в управлінні та координації кібербезпеки. Це не просто технічні помилки окремих фахівців, а фундаментальні недоліки в самій системі. Однією з головних причин є відсутність централізованої та актуальної інвентаризації, що, у свою чергу, призводить до існування так званого «тіньового ІТ» (Shadow IT).

Саме ці забуті активи стають найлегшою мішенню для зловмисників. Без єдиної бази даних активів неможливо ефективно управляти ризиками та вразливостями. Відсутність видимості та контролю над зовнішнім периметром створює «сліпі зони», в яких і виникають усі перелічені вище технічні вразливості, що згодом індексуються загальнодоступними пошуковими системами. Таким чином, поверхня атаки є прямим відображенням не стільки технічних помилок, скільки системних прогалин в управлінні.

3. Що бачить ворог: Пасивна розвідка та каскадна компрометація

3.1. Зміна парадигми: Від масового сканування до тихої розвідки

Сучасний агресор не витрачає ресурси на масове, «галасливе» сканування мережі, яке можна виявити та заблокувати. Натомість, він використовує нову парадигму кіберрозвідки, що ґрунтується на пасивному пошуку по вже готових, постійно оновлюваних базах даних, які збирають комерційні сканери на кшталт Shodan та Censys.

Для розуміння цієї концепції можна використати метафору «злодія в публічній бібліотеці». Якщо «активне сканування» — це як спроба зламати двері кожного будинку в місті, що одразу привертає увагу поліції, то «пасивна розвідка» — це як візит до публічної бібліотеки. Зловмисник просто шукає в каталозі інформацію про розташування всіх сейфів, а потім йде безпосередньо до них, залишаючись непоміченим. Ця зміна парадигми робить розвідку значно швидшою, дешевшою та, найголовніше, менш помітною для систем безпеки. Втрата видимості процесу розвідки дозволяє агресору вибирати найслабшу ланку в системі та через неї отримувати доступ до більш захищених ресурсів.

Існування постійно оновлюваних баз даних, що зберігають історичні записи, створює концепцію «історичної вразливості». Це означає, що минулі помилки можуть бути використані для майбутньої розвідки. Навіть якщо вразливість була виправлена місяць тому, її «слід» у базі даних слугує для ворога розвідувальною інформацією, вказуючи на низьку кібергігієну в минулому. Це може спонукати агресора шукати інші «забуті активи» або використати цю інформацію для подальших цілеспрямованих атак, припускаючи, що там, де були старі проблеми, можуть бути й нові.

3.2. Візуалізація “Каскадного знищення”

Агресор перетворює абстрактні технічні дані, отримані з інструментів, таких як Shodan, на конкретні вектори атаки, що можуть призвести до каскадного знищення інфраструктури. Цей принцип можна порівняти з «ефектом доміно» — одна вразливість призводить до ланцюгової реакції компрометацій, що поширюються через взаємопов’язані системи.

• Приклад 1: Відкритий RDP-сервіс. За допомогою Shodan зловмисник може знайти всі відкриті сервіси віддаленого доступу в певному секторі, наприклад, у комунальних компаніях. Виявивши таку точку входу, він може застосувати методи грубої сили для підбору слабких паролів. Отримавши доступ, зловмисник може використати його як «плацдарм» для викрадення даних або розгортання програм-вимагачів, що є першим кроком до компрометації всієї мережі.
• Приклад 2: Відкрита база даних. Простий запит, такий як MongoDB Server Information port:27017 -authentication, може виявити десятки тисяч баз даних із відкритим доступом. Це дозволяє ворогу отримати доступ до конфіденційної інформації (персональні дані, фінансові звіти, внутрішня документація). Далі дані можуть бути зашифровані або викрадені з метою вимагання викупу.
• Приклад 3: Застаріле програмне забезпечення. Виявлення веб-сервера на застарілій версії Apache, для якої існує публічно відомий експлойт для віддаленого виконання коду (RCE), дозволяє зловмиснику отримати повний контроль над сервером. Ця вразливість стає воротами для подальшого проникнення вглиб мережі, дозволяючи зловмиснику вільно переміщатися між системами.

4. Рішення: Проактивна оборона з Національною EASM-платформою

4.1. Відмінність EASM від інших інструментів

Управління поверхнею зовнішніх атак (EASM) є новою парадигмою проактивної оборони, що має унікальну цінність. Важливо чітко розмежувати її від інших, споріднених концепцій, щоб зрозуміти, чому вона є необхідним елементом в системі національної кібербезпеки.

• EASM проти ASM: Управління поверхнею атаки (Attack Surface Management, ASM) є ширшим поняттям, яке включає управління як внутрішніми, так і зовнішніми активами. EASM є його підмножиною, що фокусується виключно на зовнішній, доступній з Інтернету, поверхні.
• EASM проти CAASM: Кіберуправління поверхнею атаки (Cyber Asset Attack Surface Management, CAASM) зосереджений насамперед на внутрішніх активах та залежить від інтеграції з існуючими внутрішніми інструментами, такими як інвентарні бази даних (ITAM). CAASM ефективний для управління вже відомими активами. Натомість, EASM надає унікальний, зовнішній, неавтентифікований погляд, що дозволяє виявляти «тіньові ІТ» та інші невраховані активи, про існування яких внутрішні системи можуть не знати. EASM можна порівняти з охоронцем, який спостерігає за парканом ззовні, тоді як CAASM — це охоронець, який перевіряє інвентар усередині будинку.
• EASM проти DRP: Захист від цифрових ризиків (Digital Risk Protection, DRP) сфокусований на моніторингу репутації бренду, виявленні фішингових сайтів та витоку конфіденційних даних, а не на технічних вразливостях зовнішнього периметра.

Ключова цінність EASM полягає в тому, що він усуває «сліпі зони», забезпечуючи безперервний, автоматизований моніторинг усіх інтернет-активів, виявляючи ті, що були забуті або неправильно налаштовані.

4.2. Архітектура Платформи: Каталізатор інтеграції

Ключові компоненти платформи включатимуть:

• Збір даних: Використання ліцензованих даних від комерційних джерел (Shodan, Censys), а також даних з власного краулера та відкритих реєстрів.
• Нормалізація та атрибуція: Стандартизація даних з різних джерел та автоматизоване визначення приналежності активів до конкретних відомств.
• Збагачення: Додавання контексту, зокрема інформації про відомі вразливості (CVE) та геолокацію.
• Ризик-скоринг: Пріоритезація вразливостей на основі їхнього потенційного впливу, критичності активу та актуальності загрози.
• Алерти та дашборди: Візуалізація загроз та автоматичне сповіщення відповідальних осіб через дашборди, які надають інформацію про рівень кібергігієни, вразливості та відповідність політикам безпеки.

Платформа дозволить перейти від ручного, реактивного процесу до проактивного, автоматизованого циклу. Наприклад, виявивши новий, неврахований актив («тіньове ІТ»), EASM-платформа може автоматично створити тікет у системі Jira/ITSM для відповідної команди, встановлюючи чіткий SLA на усунення вразливості, або збагатити події в SIEM/SOAR, надаючи контекст про вразливості на IP-адресах, з яких йде атака.

4.3. Модель даних паспортизації активів

Для забезпечення систематичного підходу до моніторингу пропонується наступна модель даних, яка визначає, яка інформація збирається, її джерело та частоту оновлення.

Поле	Опис	Джерело	Період оновлення
IP-адреса	Унікальна IP-адреса (IPv4/IPv6)	Shodan, Censys	Безперервно
ASN	Номер автономної системи	WHOIS, Shodan	Раз на місяць
Організація	Назва організації (як у WHOIS, Shodan)	WHOIS, Shodan	Раз на місяць
Порти	Список відкритих портів та протоколів	Shodan, Censys	Безперервно
Банери	Метадані про сервіс (версія, тип)	Shodan, Censys	Безперервно
Вразливості	Перелік відомих CVE	Shodan (з API), власні бази даних	Безперервно
Приналежність	Атрибуція до державного відомства/сектору	Власний краулер, ручна валідація, довідники	Встановлюється при першому виявленні, оновлюється за запитом
Ризик-скоринг	Оцінка критичності (високий, середній, низький)	Модель платформи	Безперервно

5. Дорожня карта та управління: Впровадження та подолання фрагментації

5.1. Дорожня карта реалізації

Реалізація Національної EASM-платформи буде здійснена у два основні етапи. Це забезпечить керований та ефективний процес впровадження.

• Фаза 1: Пілотний проект (90 днів). Протягом перших 90 днів може бути реалізовано пілотний проект у трьох ключових секторах, обраних для відображення різних рівнів критичності та організаційної структури: освіта, муніципалітети та енергетика. Основні завдання включатимуть створення базової архітектури, інтеграцію з комерційними джерелами даних (Shodan, Censys) та розробку моделі атрибуції і ризик-скорингу.
• Фаза 2: Масштабування (12 місяців). Після успішного завершення пілотного проекту розпочнеться масштабування на всі державні відомства. Ця фаза передбачає поступове підключення всіх ключових відомств та секторів, автоматизацію процесів виявлення, атрибуції та реагування.

5.2. Ключові показники ефективності (KPIs)

Успіх проєкту буде вимірюватися конкретними, значущими метриками. Ці показники перетворюють абстрактні обіцянки в конкретні, вимірювані цілі, що робить проєкт підзвітним та дозволяє оцінювати інвестиції.

Показник	Ціль	Термін
Скорочення кількості відкритих RDP/SSH-сервісів у державному секторі	≥80%	12 місяців
Зниження частки прострочених TLS-сертифікатів	≥70%	12 місяців
Зменшення середнього часу на усунення критичних вразливостей	Значне скорочення (SLA)	Постійно

5.3. Управління та ролі (Методологія RACI)

Це є ключовим стратегічним результатом, який виходить за межі суто технічних цілей. Методологія RACI (Responsible, Accountable, Consulted, Informed) є конкретним інструментом для забезпечення прозорості та підзвітності.

• ДССЗЗІ (A, R): Виступає як відповідальний (Responsible) та власник (Accountable) платформи. ДССЗЗІ розробляє політику, стандарти та методологію «паспортизації» і забезпечує загальну координацію.
• CERT-UA (I): Є виконавцем (Informed) та відповідає за операційне реагування на інциденти та розсилання алертів, виявлених EASM. Інформація з платформи забезпечує CERT-UA необхідними даними для своєчасного реагування.
• СБУ, Кіберполіція (C): Виступають як консультанти (Consulted). СБУ надає розвідувальні дані (Threat Intelligence) щодо ворожих хакерських груп, що дозволяє пріоритизувати ризики на основі актуальних загроз. Кіберполіція залучається для розслідування кіберзлочинів, виявлених EASM.
• Відомства (I): Є кінцевими виконавцями (Informed). Вони відповідають за усунення (ремедіацію) вразливостей, виявлених на їхніх активах, отримуючи чіткі інструкції від платформи та CERT-UA.

Платформа EASM стає технологічним «клеєм», що об’єднує зусилля різних відомств, які, попри різні повноваження, мають спільну мету. Це забезпечує прозорість, підзвітність та синхронізацію дій, перетворюючи розрізнені зусилля на скоординовану систему кіберзахисту.

6. Ризики та обмеження: Значення людського фактору

Впровадження Національної EASM-платформи, попри її очевидні переваги, несе низку ризиків, які необхідно врахувати для забезпечення її ефективності.

6.1. Технічні ризики

Існують ризики, пов’язані з хибними атрибуціями та дублікатами активів. Автоматизовані системи атрибуції можуть помилково віднести актив до іншої організації або створювати дублікати. Для мінімізації цього ризику необхідно застосовувати багатофакторний процес атрибуції (ASN, WHOIS, DNS) та проводити обов’язкову ручну валідацію для критичних активів. Також «шум» від старих, неактуальних даних, що зберігаються в базах, може ускладнювати аналіз. Розробка алгоритмів, що враховують давність даних та пріоритезують лише актуальну інформацію, допоможе мінімізувати цей ризик.

6.2. Правові та комерційні аспекти

Використання даних, зібраних сторонніми комерційними компаніями, може мати правові наслідки. Для їх мінімізації необхідна закупівля комерційних ліцензій, які надають законний доступ до даних, а також створення чіткої внутрішньої політики використання цих даних, що відповідає українському законодавству. Крім того, залежність від одного комерційного постачальника даних (напр., Shodan) може створити проблеми в майбутньому (vendor-lock-in). Для уникнення цього ризику необхідно використовувати кілька джерел даних та розробляти власний краулер для незалежного збору інформації.

6.3. Найбільший ризик – людський фактор

Найбільший ризик для впровадження платформи — не технічний, а організаційний. Навіть найдосконаліша система не матиме реального ефекту, якщо відомства не будуть усувати виявлені вразливості через відсутність належного фінансування, людських ресурсів або політичної волі. Це фундаментальне твердження перетворює технологічний проєкт на стратегічний проєкт з трансформації управління. Платформа EASM надасть чітке уявлення про те, «що» і «де» робити, але відповідальність за те, «як» і «хто» буде це робити, лежить на керівництві та персоналі відомств.

Цю ситуацію можна описати метафорою: «найкраща карта марна, якщо шукач скарбів відмовляється її використовувати». Платформа EASM — це досконала карта, яка точно вказує на всі вразливості-«міни». Але якщо відповідальні команди не матимуть ресурсів або бажання слідувати цій карті, її цінність буде нульовою. Таким чином, успіх проекту залежить не лише від технології, а й від впровадження організаційних процесів: чітких SLA, механізмів ескалації та підзвітності.

7. Висновок: Забезпечення цифрових рубежів

Усуваючи «сліпі зони» та надаючи критичну розвідувальну інформацію про вразливості, платформа зробить Україну значно стійкішою до кіберагресії. Вона дозволить перетворити розрізнені зусилля на скоординовану та ефективну систему національної кібербезпеки. У контексті повномасштабної війни, це не просто інвестиція в технології, а стратегічна інвестиція в національну безпеку.

---